Quentin Velluet
Africa-Press – Côte d’Ivoire. Mise entre de mauvaises mains, l’intelligence artificielle générative devient une cybermenace de plus à prévenir pour des dirigeants souvent inconscients des risques de cette technologie.
Un hacker ne se cache pas toujours sous un sweat à capuche et dans une cave sécurisée. Il peut porter un polo en crochet beige et des mocassins marron bien cirés. C’est le cas de Clément Domingo en cet après-midi de juin. Confortablement installé dans un salon privé du septième étage du Sofitel de Cotonou, où se déroulait la cinquième édition du Cyber Africa Forum les 24 et 25 juin, le « hacker éthique » ou « gentil hacker » comme il aime se présenter, déplie son ordinateur portable tout en commandant une eau pétillante avec deux rondelles de citron vert, « comme d’habitude ».
Deux minutes plus tard, les lignes de code défilent sur son écran. En trois prompts bien sentis sur Grok, le ChatGPT d’Elon Musk, le hacker est parvenu à passer outre les garde-fous éthiques de l’outil pour lui faire coder un rançongiciel à faire pâlir tous les as du Rust, le langage communément utilisé dans ce cas de figure.
« Si j’arrive à jailbreaker Grok pour lui faire faire ça, imaginez à quel point il est facile de compromettre un chatbot pluggé sur un environnement d’entreprise ». Traduction: s’il est possible de « casser » les barrières éthiques d’une intelligence artificielle (IA) aussi sophistiquée que celle de la société xAI d’Elon Musk, grâce à une seule requête que des hackers s’échangent gratuitement sur les forums du dark web, imaginez comme il peut être simple d’utiliser le chatbot de service après-vente d’une quelconque entreprise pour s’introduire dans ses systèmes informatiques.
Des dirigeants pas suffisamment préparés
Clément Domingo, alias « SaxX », vient d’illustrer la nouvelle forme de cybermenace qui plane sur les entreprises du monde entier: l’intelligence artificielle générative. D’aucuns la promeuvent comme une invention digne de l’électricité, mais comme tout nouvel outil, l’IA est un couteau à double tranchant. Et elle est actuellement utilisée par les hackers pour démocratiser, sophistiquer et massifier des cyberattaques auxquelles les dirigeants du secteur privé, comme du public, ne se sont pas préparés.
Cette technologie fait tomber les anciennes barrières techniques qui confinaient les activités malveillantes aux seuls initiés. Elle permet de coder plus facilement et rapidement des malwares ou rançongiciel ainsi que d’automatiser le ciblage et l’envoie des attaques. L’IA est aussi capable de mieux concevoir de faux messages imitant le style, l’identité et la signature de dirigeants réclamant des paiements ou virement d’urgence (hameçonnage ou spear phishing): « L’hameçonnage traditionnel s’additionne avec l’analyse des comportements en ligne et le croisement des données », explique Radia Ouro Gbele, directrice générale du cabinet OG IT Consulting.
L’IA permet aussi de scanner et repérer davantage et plus vite l’ensemble des failles potentielles d’un système d’information, ou encore de coder plus rapidement des applications utiles à une entreprise, sans qu’aucun développeur n’ait la main, ni le contrôle sur le code source (outils «no code») – ce qui représente là aussi un danger.
Si elles touchent le monde entier, ces nouvelles menaces sont encore plus prégnantes en Afrique où il est désormais admis que l’équipement et la sensibilisation des utilisateurs en matière de cybersécurité sont encore largement rudimentaires.
Dans son dernier rapport annuel sur les cybermenaces en Afrique, l’Organisation internationale de police criminelle (Interpol) relève que « l’Afrique de l’Ouest connaît […] une intensification des attaques de type phishing et deepfakes conçues grâce à l’IA ». Elle regrette aussi que parmi les agences nationales de sécurité informatiques interrogées dans le cadre de son travail, 86 % n’aient pas encore intégré l’IA dans leurs opérations de maintien de l’ordre.
« Les nouveaux analphabètes du siècle »
Car c’est bien l’IA qui permet actuellement de prévenir au mieux les nouvelles attaques permises… par l’IA. C’est notamment pour cette raison que des entreprises locales comme Techso Group au Maroc et en Afrique de l’Ouest ou New Digital Africa (NDA), le groupe technologique fondé par Ange Kacou Diagou, imaginent de nouvelles solutions elle-même basées sur l’intelligence artificielle.
L’hameçonnage traditionnel s’additionne avec l’analyse des comportements en ligne et le croisement des données.
NDA a, par exemple, noué un partenariat avec la société française Lexfo filiale de Forward Global pour intégrer à ses solutions le service Ambionics, de « sécurité offensive ».
Ce concept, bien connu des spécialistes de la cybersécurité, consiste à anticiper les cybermenaces en menant une veille perpétuelle sur les nouvelles formes d’attaques qui circulent sur le dark web, ainsi que sur les vulnérabilités potentielles d’un système d’information: « Nous nous inspirons directement des opérations de scan de failles potentielles sur les API [interface de programmation] et l’ensemble des services exposés (logiciels et hébergement sur le cloud) auxquels s’adonnent les hackers eux-mêmes », explique Naima Al Houss, chargée de clientèle cybersécurité chez Lexfo.
S’il a toujours été effectué ainsi, ce travail, qui consiste à analyser des conversations sur des forums de hackers et à faire de multiples tests d’intrusion et simulations d’attaques est désormais entièrement automatisé grâce à l’IA. De quoi suivre plus efficacement le rythme des mutations des menaces.
Pour l’heure, les premiers à adopter des solutions de Lexfo font partie des sociétés du CAC40 ou du SBF120. Ce qui fait dire à Jean Jacques N’Docho, directeur adjoint de NDA en charge des opérations et de la technologie, que les décideurs africains sont « les nouveaux analphabètes du siècle ». « Ils ne comprennent pas l’intelligence artificielle », regrette-t-il comme l’ensemble des interlocuteurs interrogés dans le cadre de cet article.
Une sensibilisation par le haut
La négligence du secteur privé envers les questions de cybersécurité n’est pas une problématique nouvelle pour les spécialistes, mais l’arrivée de l’IA rend encore plus pressant le besoin de prise de conscience. « Nous n’y sommes pas du tout. Même quand certains DG ont conscience du risque, cela n’a pas d’effet sur les investissements », déplore Radia Ouro Gbele, qui prospecte le marché ouest-africain depuis cinq ans.
« La prise de conscience infuse dans les États où la question est portée au plus haut niveau », estime pour sa part Daouda Sow, cofondateur de Techso Group, rejoint par Radia Ouro Gbele, qui cite le Bénin et le Togo en exemple.
De quoi faire dire à l’experte, active en France mais aussi au Togo depuis 2023, que « la gouvernance est le point de départ de toute mesure en faveur de la cybersécurité dans les organisations ». Selon elle, la problématique de la cybersécurité doit être portée au plus haut niveau hiérarchique afin que le reste du processus – campagne de sensibilisation, mise en conformité via des investissements dans des outils adaptés et des formations – puisse se mettre en place.
Nous n’y sommes pas du tout. Même quand certains DG ont conscience du risque, cela n’a pas d’effet sur les investissements.
« Les entreprises doivent réglementer l’utilisation de l’intelligence artificielle générative notamment pour éviter l’effet de “shadow IA”, c’est-à-dire l’utilisation individuelle dans le cadre professionnel de ces outils gratuits. Cet usage représente une menace en termes de fuites de données », abonde Dhia Hachicha, directeur de l’activité conseil de Deloitte en Tunisie.
Plus largement, à l’heure des débats sur le développement d’une stratégie et d’une régulation panafricaine de l’IA, cybersécurité et intelligence artificielle doivent être abordées ensemble, estime Radia Ouro Gbele: « Si on ne vérifie et ne sécurise pas les données qui nourrissent les futurs modèles d’IA, on va créer de nouvelles compromissions et des risques de désinformation massive », prévient-elle.
Source: JeuneAfrique
Pour plus d’informations et d’analyses sur la Côte d’Ivoire, suivez Africa-Press
